业务连续性管理策略是依据业务需求分析(包括:业务影响分析和风险评估)结果,事先制定的为应对我行业务中断、避免或减少业务中断对组织产生的负面影响,保障业务在预定时限内恢复到规定服务水平的业务和信息系统的恢复目标、顺序及原则,以及各种资源要求的集合,是我行在充分了解自身需求的基础上,对业务性管理体系建设提出的目标、要求和原则,以指导后续工作有序开展。
我行制定的业务连续性策略必须满足BIA中确认的RTO和RPO要求。同时,对建议增加的策略要进行成本效益分析,以使实施策略的成本与资产面临风险的成本相匹配。
本策略的制定遵循“制定科学、立足现状、成本效益、合法合规”4个基本原则。
“制定科学”:借鉴国际业务连续性管理组织(DRII、BCI)的标准和指南、国家标准《GB/T-20988-2007信息安全技术信息系统灾难恢复规范》、行业标准《JR/T0044—2008银行业信息系统灾难恢复管理规范》、银监会《商业银行业务连续性监管指引》、以及国内其他银行业务连续性管理建设的最佳实践。
“立足现状”:依据(组织名称)战略发展目标,立足现有的IT系统、灾备建设、基础设施等资源建设状况和人员BCM业务连续性管理的意识及技能水平。“成本效益”:综合权衡业务恢复目标、资金投入、人力成本、建设周期、资源获取方式等方面因素制定业务连续性管理策略。“合法合规”:制定业务连续性管理策略,需严格按照国家法律法规、银行业监管部门对业务连续性管理工作的各项要求,包括《商业银行业务连续性监管指引》、《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》等。
本策略的制定目的:满足我行各级机构所在国家监管要求,遵循行业规范,满足各利益相关方对我行业务持续运营能力的要求。
本策略是基于我行实际情况,进行一定范围的业务影响分析和风险评估的基础上,借鉴国际、国内同业经验,并考虑技术可行性与成本风险平衡后制定的。主要运用于我行各级别突发业务中断事件中的业务应急及恢复工作,包括事前的规划建设和预防、事中的处置和恢复措施原则、事后的能力提升等。业务连续性策略主要保障业务运营的持续与恢复,无法全面覆盖对于人员生命安全、有形资产安全的保护和抢救过程,仍需在加强业务连续性能力的同时,加强我行对各类突发应急事件的抢险抢救能力。本策略可作为我行进行运营中断事件应急抢救工作的参考。
在考虑我行实际情况的基础上,本策略按照《商业银行业务连续性监管指引》以及同行业的最佳实践制定,主要内容包括:
l策略编写说明
l业务连续性管理建设规划
l业务恢复策略及要求
l沟通策略
l应急资源建设策略
我国各商业银行在业务连续性管理方面已经做了很多工作,体系建设也初具规模,但还存在不少问题,面临很多挑战。
首先,商业银行内部各部门对业务连续性管理认识不一致,主要体现在概念混乱,关注点不同,对于业务连续性管理的内容,各部门有自己一套方法,无法形成统一的管理体系;其次,业务连续性管理是一项综合性工作,需要跨部门共同协作,不是某一个部门或者某个业务条线就能完成的工作,需要决策层建立策略,统一指挥,建立有效的管理体系。虽然近几年,在104号文出台后,大多数商业银行可以按照监管要求进行工作,但在实践中,仍然会出现组织、协调落实困难的问题。再次,各商业银行仅局限在信息系统层面的演练,且多为计划内切换,缺乏模拟突发事件的综合性演练。举例来说,在发生严重自然灾害时,如果仅考虑IT系统的切换,而忽略了营业场地、办公场地、人员伤亡和后勤保障等方面,商业银行同样无法及时对外服务。最后,有些商业银行往往将业务连续性工作视为一次性项目实施、并未纳入到银行各部门日常工作和考核范畴,缺乏长效的持续改进机制。
我行虽在XXX年已经发布《业务连续性管理办法》,但全行在业务连续性管理日常工作中仍然暴露出一些问题,主要体现在:
■我行规模大、部门及分支机构众多,业务连续性建设难度和管理的复杂度更高;有关部门对业务连续性计划、预案理解不一致,■导致成果物标准不统一,灾难发生时,预案很难被充分利用和验证;■演练仅局限在IT-DR方面,处置流程和演练方式单一,未按预案进行;■演练事先已经告诉全部处置流程(没有任何意外情况),且危机沟通环节常被忽视;■IT系统缺乏真实灾备切换演练;■业务集中作业中心(如清算中心、信用卡中心)等没有备用办公场地;因此,业务连续性管理不是一次性项目实施,应纳入到我行各部门日常工作和考核范畴,建立长效的持续改进机制。按照《商业银行业务连续性监管指引》要求,应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。结合我行实际情况,相关监管要求,及国际、国内同业经验,(描述现状,内容架构可参考如下内容)。我行虽在XXX年已经发布《业务连续性管理办法》,但全行在业务连续性管理日常工作中仍然暴露出一些问题,主要体现在:■我行规模大、部门及分支机构众多,业务连续性建设难度和管理的复杂度更高;有关部门对业务连续性计划、预案理解不一致,导致成果物标准不统一,灾难发生时,预案很难被充分利用和验证;■演练仅局限在IT-DR方面,处置流程和演练方式单一,未按预案进行;■演练事先已经告诉全部处置流程(没有任何意外情况),且危机沟通环节常被忽视;■IT系统缺乏真实灾备切换演练;■业务集中作业中心(如清算中心、信用卡中心)等没有备用办公场地;因此,业务连续性管理不是一次性项目实施,应纳入到我行各部门日常工作和考核范畴,建立长效的持续改进机制。按照《商业银行业务连续性监管指引》要求,应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
结合我行实际情况,相关监管要求,及国际、国内同业经验,制定短期、中期业务连续性管理体系建设规划,在总、分行层面不断推动业务连续性体系建设。
1、制度、体系建立
管理办法:我行XXXX年已制定下发《业务连续性管理办法》。组织架构:依据管理办法,各级机构建立日常及应急组织架构,明确重要人员及其职责分工。人员培训:进行体系和流程建立的过程,对相关人员进行培训,并将业务连续性管理理论纳入案防培训等日常培训体系。2、流程建立
编写总行BCP,完善全行预案体系,建立预案的维护、审核、验证、演练等管理流程;建立全行演练管理及流程;通过演练,验证管理体系的实施能力、预案的有效性。3、管理软件开发部署及培训
结合中行组织架构、管理特点,建设BCM管理软件系统,系统包括具有一定灵活性的业务影响分析、风险评估模块,以及预案维护管理、演练实施管理等功能
1、预案体系完善,演练验证:xxxxx年重要和次重要的业务都具备有应急与恢复预案,演练覆盖率达到XXXX。
2、分支机构推广:境内分支行试点推广BCM实施过程,并结合分支机构自身特点与区域要求,进行适度的、可控的改进;境外分支机构试点,结合我行体系要求及当地监管要求,建立或完善BCM管理流程及BCP体系。
3、BCM管理软件系统的升级:重点针对分支机构的需求进行功能改进完善。
1、评价与改进:结合BCM的实施及推广过程,进行BCM体系的评估;全行范围业务影响分析与风险分析;修订业务连续性管理办法、策略、计划及各级预案。
2、全行范围推广:全行境内外各级分支机构普及业务连续性体系建设,重要和次重要业务预案覆盖率XXX,演练覆盖率XXXXX。
3、全行各级机构初步达到即时演练、随时应急的能力。
业务连续性指标(业务恢复指标):优先恢复、次优先恢复、一般恢复三个恢复级别。
业务的恢复等级划分如下:
业务恢复等级 | 恢复顺序 | 描述 |
---|---|---|
第一级 | 优先恢复 | 短时间中断对国家、外部机构和社会产生重大影响的业务; 短时间中断将严重影响我行(适用于银行业)经营活动并造成重大经济损失的业务; 客户对短时间中断不能容忍的业务。 |
第二级 | 次优先恢复 | 短时间中断将影响并造成较大经济损失的业务; 客户对短时间中断具有一定容忍度的业务。 |
第三级 | 一般恢复 | 短时间中断对我行(适用于银行业)的影响较小,并造成一定经济损失的业务; 客户可以容忍一段时间中断的业务。 |
各业务恢复级别的恢复指标如下:
各业务恢复级别的恢复指标
业务恢复级别 | 业务恢复时间目标 | 业务恢复点目标 |
---|---|---|
第一级 | 4小时 | 0-15分钟 |
第二级 | 12小时 | 1小时 |
第三级 | 24小时 | 1天 |
业务影响分析过程中,为使各业务品种之间具有一定的可比性,设置了统一的假设前提,对总行层面的业务品种进行的业务重要性排序。各部门、各分支机构在实际业务连续性计划制定及突发业务中断处置过程中,应根据实际情况进行适当调节,以保持业务恢复过程的合理灵活,资源充分有效利用。
业务恢复优先级和恢复指标
业务恢复等级 | 恢复顺序 | 描述 |
---|---|---|
第一级 | 优先恢复 | 短时间中断对国家、外部机构和社会产生重大影响的业务; 短时间中断将严重影响我行(适用于银行业)经营活动并造成重大经济损失的业务; 客户对短时间中断不能容忍的业务。 |
第二级 | 次优先恢复 | 短时间中断将影响并造成较大经济损失的业务; 客户对短时间中断具有一定容忍度的业务。 |
第三级 | 一般恢复 | 短时间中断对我行(适用于银行业)的影响较小,并造成一定经济损失的业务; 客户可以容忍一段时间中断的业务。 |
各业务恢复级别的恢复指标如下:
各业务恢复级别的恢复指标
业务恢复级别 | 业务恢复时间目标 | 业务恢复点目标 |
---|---|---|
第一级 | 4小时 | 0-15分钟 |
第二级 | 12小时 | 1小时 |
第三级 | 24小时 | 1天 |
业务恢复策略主要用于业务连续性管理体系建设及能力提升的指导依据,涉及业务连续性管理周期中的各个阶段,特别是在业务连续性计划和预案的制定、资源建设、演练实施、以及突发业务中断事件中的处置原则。
1)业务恢复时间目标(RTO)与数据恢复点目标(RPO)的处理:
RTO与RPO不是正向相关关系,即:RTO指标高的业务,RPO指标未必也高;反之RTO指标较低的业务,RPO则可能对数据丢失的容忍度很低。如转账业务,延迟款项到账,客户可以接受,但账务信息丢失是无法接受的;而客服电话系统对中断时间容忍度很低,但对数据丢失有一定容忍度。
对于个别业务的业务恢复时间目标RTO和数据恢复点目标RPO,在信息系统建设、预案制定、应急恢复等过程中,可根据实际需要降低其RTO或RPO的其中一项指标,即原则上不高于所属恢复级别的相应指标。
2)特殊业务时段的业务恢复要求:对于非7*24小时服务的业务,在非运营时段,在保证不影响次日开业的情况下恢复处置级别可适当调整,以保障7*24小时运营业务;对于国家法定节假日、周末等法定休息日停止运营,或业务量、业务影响程度明显小于正常运营时段的业务,可适当调整恢复处置级别;对于特殊交易时段,如部分业务的业务量出现峰值、或客户敏感时段,其恢复处置级别要适当提高。
3)应急过程中,应急指挥层应及时根据事态发展、中断时长和处置效果,调整业务恢复顺序。
1)业务中断期间的流量控制
业务中断期间,造成业务停滞积压,应及时采取相应措施进行业务的分流、客户疏导等,包括且不限于:
差异处理:根据业务恢复优先级别、客户类别和业务诉求、业务特性、渠道特点等,有选择地受理部分业务,如:柜面网点减少业务窗口,在抗灾过程中优先受理社会抗灾捐款相关账务业务等;
业务分流:包括同业分流、我行(适用于银行业)其他网点分流、渠道分流、时间分流等方式。当某一渠道中断时,可通过门户网站或是其他能直接与客户联络的渠道,提示客户使用其他渠道办理业务。在日常运营时,应建立渠道中断相关应急处置流程,并告知客户当渠道中断时,可采取的替代渠道;
替代方式:对于可采取如手工替代、简化业务流程或系统替代等方式受理、处理的业务,应在相关预案中明确操作流程、标准和资源,并对替代的条件进行设定。例如建立手工替代手段时,除明确手工操作流程外,应明确手工替代时应使用的凭证、后续数据录入流程和复核确保数据正确性的机制;设计系统替代方式时,替代系统与被替代系统应具有相同或类似的功能,应明确系统替代的操作流程,明确该替代方式对于业务正常运营的影响,后续数据追补方式和复核确保数据正确性的机制。各专项业务预案中,应就各种分流疏导措施,设置相关操作流程,配备必要的工具设施、解释话术、人员配置、后勤保障等。
2)恢复过程中的流量控制
信息系统、业务渠道或重要业务资源恢复后,正式恢复业务运营前,需要进行数据回补、验证,处理积压交易,可能造成瞬时并发处理量过大,对业务运行造成新的威胁,进行恢复决策时,应根据业务恢复优先级别、渠道恢复策略、系统性能等,从技术、业务管理、后勤保障等方面做好相应的业务流量控制、保障措施和逐步放开的控制策略
业务运营中断的数据恢复应依据应保证数据的保密性、准确性、完整性、时效性、唯一性,原则上“系统恢复为主、手工补录为辅,内部恢复为主、外部补充为辅”。
信息系统中的数据恢复策略应结合业务恢复级别及指标,制定信息系统数据恢复策略,包括:备份、保存、获取、恢复、技术验证等,并在各信息系统专项预案中明确恢复顺序和操作流程。
业务操作层面应结合相关法规和管理规范,对各类业务凭证进行归档、备份、扫描、保存等。并明确业务恢复过程中,相关数据、凭证、文档调取、恢复手段、补录规则、验证要求等流程及各环节规范条件。需要从前台、客户、交易对手等方面恢复数据的,要明确条件,以及获取方式、渠道等要求。
本节外联机构主要指监管类机构和业务往来机构,不含外部服务机构、外包服务商等。根据业务影响分析,外联机构的上报、沟通、交易等活动的恢复级别分别如下。
1)监管机构恢复级别
监管机构恢复级别如下:监管机构恢复优先级
恢复级别 | 监管机构名称 |
---|---|
第一级 优先恢复 | 人民银行 |
银监会 | |
外汇管理局 | |
当地银监局 | |
第二级 次优先恢复 | 证监会 |
银行业交易商协会 | |
财政部 | |
保监会 | |
人社部 |
各专项预案设置和应急过程中,监管机构的恢复级别,须在满足各监管机构相关时效性要求基础之上提供相应措施保障。
2)业务关联机构恢复级别
业务往来机构的恢复指标和顺序应参考其支持或关联的业务品种的恢复重要性,结合事件场景,在专项预案和应急恢复处置中进行掌握。业务关联机构恢复优先级
我行主要的营业网点包括:人工柜台网点、自助服务网点(含在行式、离行式)、智能化网点等。各分行、支行应在本机构业务恢复计划和预案中,针对不同业务中断处置流程,结合本机构网点分布、功能划分、业务流量、渠道恢复要求、客户特点等,制定本机构所辖网点恢复顺序和流程。各营业网点应针对不同类别处置流程,建立各自业务恢复预案。具有网点互备、业务分流功能的网点之间,还应在预案中明确网点间的恢复次序,以及协同合作、资源使用、人员调动等流程要求。
我行各信息科技部门,应根据业务恢复策略、数据恢复策略、渠道恢复策略等要求,结合信息系统灾备定级和可用性等级,制定信息系统恢复策略,依据业务恢复级别,对支撑相关业务运行的信息系统划分恢复级别,并完善信息系统应急及恢复各专项预案。
我行各信息科技部门,应根据业务恢复策略、数据恢复策略、渠道恢复策略等要求,结合信息系统灾备定级和可用性等级,制定信息系统恢复策略,依据业务恢复级别,对支撑相关业务运行的信息系统划分恢复级别,并完善信息系统应急及恢复各专项预案。
对外沟通的对象主要有:股东、客户、公共媒体、监管机构、业务往来机构、同业机构、外部服务方等。
总行及各分支机构应在声誉危机管理预案中明确业务中断事件发言人及其备份人员,在特别重大和重大事件中,舆情危机严重的情况下,由我行高级管理层成员直接担当发言人。
全行上下,明确对外信息沟通的纪律与要求:
突发业务中断事件处置过程中及事件结束后,员工如无授权,不得接受外部媒体任何形式采访,不得在个人媒体上发布未经授权、未经我行正式对外公开的事件相关信息。当出现全行范围或局部区域范围突发业务中断事件后,全行各部门、各分支机构须在第一时间向各级员工重述对外沟通纪律。
对外沟通渠道的渠道包括且不限于我行官方网站、移动客户端、客服电话语音系统、人工客服、柜面网点、外部传统媒体、微博、微信等互联网媒体。
业务中断事件处置、恢复过程中,就及时上报相关监管部门,并加强网络、社会舆性监控。
我行各分支机构应建立内部沟通机制,并定期测试、更新内部沟通人员信息,以确保运营中断事件中,能够及时逐级联系到所有相关人员,及时传达行动指令。
内部人员应急沟通渠道主要有(不限于):邮件、电话、移动通讯设备及软件(短信、微信、即时通讯等工具)。
沟通内容包括且不限于:事件状况,处置计划,行动指导,沟通纪律等。
避免不利于我行(适用于银行业)的谣言大规模散播;对外沟通姿态:不隐瞒、不欺骗、不虚报谎报,真实可信,直接有力,主动沟通,避免被动应对和反复澄清,注重引导外部舆论。
重大突发级别以上事件,由集团应急指挥中心高层负责对外发布权威信息。
应急资源建设是一整套的建设流程,首先应满足灾备基础设施建设,确定灾备恢复等级以及外部服务商的选择。数据中心基础设施灾备建设:根据相关监管机构对信息系统灾备建设的要求,建设不低于监管要求的信息科技系统灾备体系,并建立相应的运维、管理、备份、更新体系。应用系统灾备:根据业务影响分析的业务重要性排序结果,进行灾备等级建设,以满足不同重要级别和渠道的业务恢复指标。行内的风险管理系统,应考虑国内外监管具体要求,独立考虑灾备建设需求,以满足系统运行需求和监管要求。外部服务商:应要求重要外部服务商建立与其服务内容相匹配的业务连续性计划及预案,并签订服务水平协议。
在确定灾备中心、灾难恢复等级以及外部供应商后,应考虑灾备恢复资源和应急资源的建设。灾备恢复资源是指将业务迁移至备份场地或信息系统上以恢复运营所需的各类资源。业务应急资源与灾备恢复资源所涉及的建设过程和资源配置不尽相同,可分别进行规划,同时充分考虑可复用于两种活动的资源,以节约资源建设投入,提高利用效率。各级分支机构应结合地区风险特点、业务规模、安全距离、人员物资转移成本等因素,制定各办公场所、网点、集中后台业务处理中心之间的互备机制。应急资源是:原有业务资源基础上,尽快修复、恢复业务能力的所需资源。根据业务影响分析报告及业务恢复级别,对优先恢复及次优先恢复的业务品种和渠道,进行应急资源规划建设。包括且不限于:业务条线部门的业务资源,包括:人员、单据、办公资源等;保障部门的各种保障支持功能:应急指挥通讯、场地、办公场地修护、后勤、医疗救护、客户援助等。灾备恢复资源:根据业务影响分析报告及业务恢复级别,对优先恢复业务和部分次优先恢复业务进行灾备资源建设,包括且不限于:办公场所、办公设施、交通运输、人员安置、后勤保障等。部分分行机构,根据所处地域的风险评估结果,特别是地震、洪涝等自然灾害风险较高的地区,进行必要的移动网点建设,如汽车网点、帐篷网点等,以增强业务恢复过程中的替代和分流功能。
应急指挥中心是在应急过程中进行指挥的场所。总行及各分支机构的业务连续性计划与预案中,应明确指定应急及灾难恢复指挥中心的地点,并配备足够的通讯、办公、交通、后勤等保障资源。总行及一级分行应设置备用指挥中心,并具备与指挥中心同等的运作保障能力。当应急及灾难恢复指挥中心不可用时,启动备用指挥中心。备用指挥中心应与指挥中心保持一定距离以避免两点同时遭受同样的灾害事件。
业务连续性计划与各级专项预案是我行业务中断处置与恢复过程中的重要资源。各级分支机构应落实本机构内部的业务连续性计划的开发、维护、管理流程,对预案的分发、保管、备份、获取、销毁等进行明确规范和专人负责,以保证在灾难事件发生时,各类应急人员能根据各自职责权限,及时获得正确的预案、手册,以快速启运业务恢复行动。同时,作为我行内部重要商业资料,各类预案、操作手册应做好安全保密措施,未经权限准许和授权的人员不得获取。